Veracode, leverancier van oplossingen voor application security testing, concludeert uit onderzoek dat overheids- en onderwijsinstellingen vaak applicaties uitrollen met een grote hoeveelheid kwetsbaarheden. Uit het onderzoek blijkt dat de meerderheid van de organisaties in deze sectoren met grotere applicaties met oudere codebases werken, in vergelijking met andere onderzochte sectoren.
Toch zijn er genoeg aanwijzingen dat ontwikkelaars in deze sectoren hun werkwijzen moderniseren om sneller kwetsbaarheden op te sporen en te verhelpen, en zo hun softwarebeveiliging te verbeteren. In het onderzoek analyseerde Veracode duizenden applicaties binnen overheids- en onderwijsinstellingen om trends in DevSecOps te vinden. 80 procent van de geanalyseerde applicaties bevatte minstens één kwetsbaarheid – het hoogste percentage van alle sectoren in het onderzoek. Maar slechts 23 procent van de kwetsbaarheden was zeer ernstig, waarmee overheid en onderwijs (samen met financiële dienstverlening en zorginstellingen) juist weer het best presteren van alle sectoren.
Hoewel de meeste ontdekte kwetsbaarheden op zichzelf niet ernstig zijn, zorgt een opeenstapeling van kwetsbaarheden ervoor dat de kans dat een applicatie kan worden misbruikt toeneemt – en overheids- en onderwijsinstellingen hebben meer dan zeven maanden nodig om slechts de helft van alle ontdekte kwetsbaarheden te verhelpen.
Drie tips voor goede AppSec in overheid en onderwijs
• Automatiseer het scanproces met API’s: Wanneer DevOps-werkwijzen worden toegepast en releases sneller worden uitgebracht, kunnen ontwikkelaars scans automatiseren vanuit de tools die ze reeds gebruiken. Twee zaken die direct impact hebben op hoe snel kwetsbaarheden kunnen worden verholpen – scanfrequentie en scanautomatisering via API’s – worden in toenemende mate geïmplementeerd binnen overheids- en onderwijsinstellingen. Deze sectoren zijn zelfs voorlopers in hoe vaak ze scannen en in het gebruik van API’s om scans in het ontwikkelingsproces te integreren. Een ontwikkeling om vast te blijven houden.
• Scan tijdens iedere fase van het ontwikkelingsproces: in overheids- en onderwijsorganisaties worden beveiligingstesten nog steeds alleen vlak voor een grote release of op ad-hoc basis gedaan. Zorg er in plaats daarvan voor dat er in elke fase van het ontwikkelingsproces consequent wordt gescand. De ontwikkelaar heeft controle over de regelmaat van de scans, wat een enorme impact kan hebben op applicatiebeveiliging.
• Geef prioriteit aan het verhelpen van kwetsbaarheden: wanneer applicaties vaak en met regelmaat worden gescand, kunnen kwetsbaarheden direct worden verholpen. Maar oudere kwetsbaarheden blijven vaker openstaan, en teams besteden hier vaak geen tijd aan. Hoewel de ernst van kwetsbaarheden en de impact van de applicatie op bedrijfsresultaten deels bepalen welke kwetsbaarheden het eerst worden opgelost, leidt het negeren van te veel oudere fouten tot te veel security debt.
Wat de meest voorkomende fouten betreft: SQL-injecties komen binnen overheid en onderwijs 33 procent vaker voor dan bij andere sectoren, en ook cross-site scripting en gebrekkige input-validatie komen vaker voor. Maar vijf van de top tien van ernstigste kwetsbaarheden komen juist minder vaak voor in overheids- en onderwijsapplicaties. Bekijk ook deze interactieve infographic voor de meest voorkomende kwetsbaarheden per programmeertaal.
“De meeste kwetsbaarheden in overheids- en onderwijsapplicaties zijn gelukkig niet catastrofaal”, zegt Chris Eng, Chief Research Officer bij Veracode. “Door meer met DevSecOps-tactieken te werken, zoals regelmatige en frequente applicatiescans en het gebruik van verschillende testmethodes, kunnen ontwikkelaars binnen deze organisaties grote stappen maken om hun code veiliger te maken.”
16 mei 2024 Praktische en interactieve workshop met Nigel Turner Data-gedreven worden lukt niet door alleen nieuwe technologie en tools aan te schaffen. Het vereist een transformatie van bestaande business modellen, met cultuurverandering, een heront...
29 - 31 mei 2024Praktische driedaagse workshop met internationaal gerenommeerde spreker Alec Sharp over herkennen, beschrijven en ontwerpen van business processen. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare rich...
3 t/m 5 juni 2024Praktische workshop met internationaal gerenommeerde spreker Alec Sharp over het modelleren met Entity-Relationship vanuit business perspectief. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare richtl...
10 t/m 12 juni 2024 Praktische workshop Data Management Fundamentals door Chris Bradley - CDMP-examinatie optioneel De DAMA DMBoK2 beschrijft 11 disciplines van Data Management, waarbij Data Governance centraal staat. De Certified Data Managem...
14 juni 2024 (halve dag online) Praktische en interactieve workshop met Nigel Turner In ons digitale tijdperk willen veel organisaties datagedreven worden en investeren zij fors in nieuwe technologieën om dit mogelijk te maken. Maar deze ...
17 t/m 19 juni 2024Praktische driedaagse workshop met internationaal gerenommeerde trainer Lawrence Corr over het modelleren Datawarehouse / BI systemen op basis van dimensioneel modelleren. De workshop wordt ondersteund met vele oefeningen en prakti...
15 oktober 2024 Workshop met BPM-specialist Christian Gijsels over AI-Gedreven Business Analyse met ChatGPT. Kunstmatige Intelligentie, ongetwijfeld een van de meest baanbrekende technologieën tot nu toe, opent nieuwe deuren voor analisten met i...
17 oktober 2024 Praktische workshop Datavisualisatie - Dashboards en Data Storytelling. Hoe gaat u van data naar inzicht? En hoe gaat u om met grote hoeveelheden data, de noodzaak van storytelling en data science? Lex Pierik behandelt de stromingen i...
Deel dit bericht